企業(yè)數(shù)據(jù)安全治理實(shí)施協(xié)議2025年責(zé)任劃分鑒于甲方（以下簡稱“公司”）為加強(qiáng)數(shù)據(jù)安全治理，保障公司數(shù)據(jù)資產(chǎn)安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》及相關(guān)法律法規(guī)，本著公平合理、明確責(zé)任、防范風(fēng)險(xiǎn)的原則，甲乙雙方經(jīng)友好協(xié)商，就公司2025年度數(shù)據(jù)安全治理實(shí)施及責(zé)任劃分事宜，達(dá)成協(xié)議如下：第一條定義1.1本協(xié)議所稱“數(shù)據(jù)”是指公司在業(yè)務(wù)活動(dòng)過程中收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等處理的公司內(nèi)部數(shù)據(jù)、客戶數(shù)據(jù)、合作伙伴數(shù)據(jù)以及其他相關(guān)個(gè)人或非個(gè)人數(shù)據(jù)。1.2本協(xié)議所稱“數(shù)據(jù)分類分級”是指根據(jù)數(shù)據(jù)的敏感程度和重要程度，對數(shù)據(jù)進(jìn)行劃分和標(biāo)識的過程。1.3本協(xié)議所稱“數(shù)據(jù)安全事件”是指因人為因素、技術(shù)因素或外部因素導(dǎo)致的數(shù)據(jù)泄露、篡改、丟失、毀損等事件。1.4本協(xié)議所稱“數(shù)據(jù)安全治理委員會(huì)”是指公司內(nèi)部負(fù)責(zé)統(tǒng)籌協(xié)調(diào)數(shù)據(jù)安全工作的決策機(jī)構(gòu)。1.5本協(xié)議所稱“數(shù)據(jù)保護(hù)官”（如設(shè)立）是指公司內(nèi)部負(fù)責(zé)監(jiān)督數(shù)據(jù)保護(hù)法律合規(guī)、協(xié)調(diào)數(shù)據(jù)安全事務(wù)的指定人員。第二條總體原則2.1公司承諾遵守國家有關(guān)數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)的法律法規(guī)，將數(shù)據(jù)安全作為公司重要基礎(chǔ)工作，投入必要的資源保障數(shù)據(jù)安全治理工作的有效實(shí)施。2.2公司數(shù)據(jù)安全治理遵循“全面覆蓋、風(fēng)險(xiǎn)驅(qū)動(dòng)、持續(xù)改進(jìn)”的原則，建立全員參與、部門協(xié)同的數(shù)據(jù)安全治理體系。2.3公司建立健全數(shù)據(jù)安全管理制度體系，包括但不限于數(shù)據(jù)分類分級制度、數(shù)據(jù)安全風(fēng)險(xiǎn)評估制度、數(shù)據(jù)安全事件應(yīng)急預(yù)案、數(shù)據(jù)安全責(zé)任追究制度等。2.4公司各部門、團(tuán)隊(duì)及員工應(yīng)嚴(yán)格遵守本協(xié)議及公司相關(guān)數(shù)據(jù)安全管理制度，履行各自的數(shù)據(jù)安全責(zé)任。第三條數(shù)據(jù)安全治理委員會(huì)責(zé)任3.1負(fù)責(zé)制定和審定公司數(shù)據(jù)安全治理戰(zhàn)略、政策、標(biāo)準(zhǔn)和流程。3.2組織開展公司數(shù)據(jù)資產(chǎn)梳理和數(shù)據(jù)分類分級工作。3.3負(fù)責(zé)組織協(xié)調(diào)公司數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作，督促相關(guān)部門落實(shí)風(fēng)險(xiǎn)處置措施。3.4監(jiān)督檢查公司數(shù)據(jù)安全治理工作的落實(shí)情況，定期向公司管理層報(bào)告。3.5負(fù)責(zé)與外部監(jiān)管機(jī)構(gòu)就數(shù)據(jù)安全相關(guān)事宜進(jìn)行溝通協(xié)調(diào)。第四條數(shù)據(jù)保護(hù)官（如設(shè)立）責(zé)任4.1負(fù)責(zé)監(jiān)督公司數(shù)據(jù)保護(hù)法律、法規(guī)及內(nèi)部政策的落實(shí)情況。4.2為公司各部門提供數(shù)據(jù)保護(hù)相關(guān)的咨詢和指導(dǎo)。4.3作為公司與監(jiān)管機(jī)構(gòu)就數(shù)據(jù)保護(hù)事宜的官方聯(lián)絡(luò)人。4.4負(fù)責(zé)記錄、評估和報(bào)告公司發(fā)生的數(shù)據(jù)安全事件。4.5定期向數(shù)據(jù)安全治理委員會(huì)及公司管理層匯報(bào)數(shù)據(jù)保護(hù)工作情況。第五條各部門/團(tuán)隊(duì)/崗位具體責(zé)任5.1公司管理層責(zé)任：5.1.1對公司數(shù)據(jù)安全治理工作負(fù)總責(zé)，提供必要的資源支持。5.1.2簽署并發(fā)布公司數(shù)據(jù)安全方針，營造重視數(shù)據(jù)安全的企業(yè)文化。5.1.3審批數(shù)據(jù)安全治理重大事項(xiàng)，包括數(shù)據(jù)安全治理架構(gòu)調(diào)整、重大安全事件的處置方案等。5.1.4對數(shù)據(jù)安全治理工作的有效性進(jìn)行總體監(jiān)督和考核。5.2數(shù)據(jù)安全治理委員會(huì)責(zé)任：5.2.1具體執(zhí)行第三條所述職責(zé)。5.2.2定期召開會(huì)議，審議數(shù)據(jù)安全工作報(bào)告，研究解決數(shù)據(jù)安全問題。5.2.3對數(shù)據(jù)安全治理流程進(jìn)行持續(xù)優(yōu)化。5.3IT部門責(zé)任：5.3.1負(fù)責(zé)公司信息系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和數(shù)據(jù)存儲(chǔ)設(shè)施的安全建設(shè)、運(yùn)維和管理。5.3.2實(shí)施數(shù)據(jù)加密、訪問控制、入侵防范、安全審計(jì)等技術(shù)措施，保障數(shù)據(jù)存儲(chǔ)、傳輸和處理過程中的安全。5.3.3負(fù)責(zé)數(shù)據(jù)備份和恢復(fù)方案的制定與實(shí)施，定期進(jìn)行備份驗(yàn)證和恢復(fù)演練。5.3.4負(fù)責(zé)安全漏洞的識別、評估和修復(fù)工作。5.3.5負(fù)責(zé)安全事件的監(jiān)控、分析和初步處置。5.3.6提供數(shù)據(jù)安全相關(guān)的技術(shù)支持和培訓(xùn)。5.4業(yè)務(wù)部門責(zé)任：5.4.1負(fù)責(zé)本部門業(yè)務(wù)數(shù)據(jù)的分類分級，并落實(shí)相應(yīng)級別的安全保護(hù)措施。5.4.2確保本部門員工在數(shù)據(jù)采集、存儲(chǔ)、使用、傳輸、共享、銷毀等環(huán)節(jié)遵守公司數(shù)據(jù)安全管理制度。5.4.3識別本部門業(yè)務(wù)流程中的數(shù)據(jù)安全風(fēng)險(xiǎn)，并采取措施進(jìn)行控制。5.4.4組織本部門員工參與數(shù)據(jù)安全意識培訓(xùn)。5.4.5發(fā)生數(shù)據(jù)安全事件時(shí)，及時(shí)上報(bào)并配合調(diào)查處置。5.5法務(wù)合規(guī)部責(zé)任：5.5.1負(fù)責(zé)跟蹤國家及地方有關(guān)數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)的法律法規(guī)、政策動(dòng)態(tài)，確保公司合規(guī)。5.5.2參與公司數(shù)據(jù)安全相關(guān)合同的審核，特別是涉及數(shù)據(jù)處理第三方的合同。5.5.3組織或參與公司數(shù)據(jù)安全合規(guī)性評估和審計(jì)。5.5.4協(xié)助處理與數(shù)據(jù)安全相關(guān)的法律糾紛或監(jiān)管問詢。5.6人力資源部責(zé)任：5.6.1將數(shù)據(jù)安全保密承諾納入員工入職協(xié)議，并組織簽署。5.6.2組織實(shí)施公司層面的數(shù)據(jù)安全意識培訓(xùn)，并將數(shù)據(jù)安全納入員工績效考核。5.6.3負(fù)責(zé)處理員工離職時(shí)的數(shù)據(jù)訪問權(quán)限回收和數(shù)據(jù)安全相關(guān)事宜。5.6.4協(xié)助法務(wù)合規(guī)部開展數(shù)據(jù)安全相關(guān)的法律培訓(xùn)。5.7安全運(yùn)營中心（SOC）或?qū)ｉT安全團(tuán)隊(duì)責(zé)任：5.7.1負(fù)責(zé)公司數(shù)據(jù)安全事件的監(jiān)測、預(yù)警、響應(yīng)和處置。5.7.2進(jìn)行安全事件調(diào)查分析，提出改進(jìn)建議。5.7.3負(fù)責(zé)執(zhí)行安全策略，進(jìn)行安全配置管理和漏洞管理。5.7.4負(fù)責(zé)安全工具的日常運(yùn)維和管理。5.8全體員工責(zé)任：5.8.1遵守公司數(shù)據(jù)安全相關(guān)法律法規(guī)和規(guī)章制度。5.8.2提高數(shù)據(jù)安全意識，妥善保管賬號密碼，不隨意泄露公司數(shù)據(jù)和客戶信息。5.8.3在工作中嚴(yán)格遵守?cái)?shù)據(jù)操作規(guī)程，不進(jìn)行與工作無關(guān)的數(shù)據(jù)訪問和處理。5.8.4發(fā)現(xiàn)潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)或安全事件，及時(shí)向部門負(fù)責(zé)人或安全部門報(bào)告。5.8.5接受公司組織的數(shù)據(jù)安全相關(guān)培訓(xùn)。第六條協(xié)議執(zhí)行與監(jiān)督6.1公司各部門負(fù)責(zé)人應(yīng)督促本部門員工履行數(shù)據(jù)安全責(zé)任，并將數(shù)據(jù)安全工作納入日常管理。6.2數(shù)據(jù)安全治理委員會(huì)負(fù)責(zé)定期或不定期對各部門數(shù)據(jù)安全責(zé)任落實(shí)情況進(jìn)行檢查和評估。6.3公司建立數(shù)據(jù)安全績效考核機(jī)制，將各部門及員工的數(shù)據(jù)安全責(zé)任履行情況納入考核范圍，實(shí)行獎(jiǎng)懲措施。6.4對于數(shù)據(jù)安全責(zé)任不落實(shí)或違反數(shù)據(jù)安全規(guī)定的部門和個(gè)人，公司將根據(jù)相關(guān)規(guī)定進(jìn)行問責(zé)處理。第七條協(xié)議更新與修訂7.1本協(xié)議的更新和修訂應(yīng)經(jīng)數(shù)據(jù)安全治理委員會(huì)審議，并報(bào)公司管理層批準(zhǔn)后生效。7.2當(dāng)國家有關(guān)數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)的法律法規(guī)發(fā)生重大變化，或公司組織架構(gòu)、業(yè)務(wù)模式、技術(shù)架構(gòu)發(fā)生重大調(diào)整，或發(fā)生重大數(shù)據(jù)安全事件后，應(yīng)適時(shí)對本協(xié)議進(jìn)行修訂。7.3修訂后的本協(xié)議自批準(zhǔn)之日起生效，代替原協(xié)議。第八條爭議解決8.1因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。8.2如果協(xié)商不成，任何一方均可向公司所在地有管轄權(quán)的人民法院提起訴訟。第九條協(xié)議生效與終止9.1本協(xié)議自雙方簽字蓋章之日起生效。9.2本協(xié)議有效期為三年，自生效之日起計(jì)算。協(xié)議期滿前，如雙方無書面異議，本協(xié)議自動(dòng)續(xù)延三年，續(xù)延次數(shù)不限。9.3公司發(fā)生合并、分立、解散等重大情況，本協(xié)議自動(dòng)終止。第十條其他10.1本協(xié)議未盡事宜，由雙方另行協(xié)商解決。10.2本協(xié)議一式若干份，公司各部門、數(shù)據(jù)安全治理委員會(huì)、數(shù)據(jù)保護(hù)官（如設(shè)立）及相關(guān)人員各執(zhí)一份，具有同等法律效力。甲方（蓋章）：____________________法定代表